לקראת אירוע | כיצד להתמודד עם איום קבוע מתוחכם (APT)?
מאת דורי פישר, סמנכ"ל טכנולוגיות אבטחת מידע בחברת !We
אודות האיום
אחד האיומים המרכזיים בתחום אבטחת המידע, שנותר ללא מענה מוצלח, הינו היכולת לזהות עוינים שאינם מזוהים כבר ב-"חתימות" של מוצרי אנטי וירוס וזיהוי חדירות (IDP). מתודולוגיות ההגנה הנהוגות כיום מבוססות על חתימות או התנהגות תקשורת, החוסר המרכזי בחתימות הוא כאשר הקוד העוין "תפור" למידותיו של ארגון (כמו בפרשת הטרויאני ואחרות), או לחליפין חדש או לא נפוץ (כמו כול עוין בתחילת דרכו), יצרניות האנטי וירוס אינן חשופות אליו ובכול מקרה, ייצור הנוגדן אורך זמן יקר גם אם נחשפו אליו.
מהו APT?
איום קבוע מתוחכם (APT, ר"ת Advanced Persistent Threat), כדוגמת האיום שתואר לעיל, הוא איום המבוסס על קוד שאינו מזוהה על ידי אנטי וירוסים רגילים מחד ומנהל התנהגות "ג'נטלמנית" ביחסו לרשת מאידך: הוא לא יפיל נתבים וציוד תקשורת, לא יסרוק את הרשת, לא יבצע עשרות או מאות כישלונות בהזדהות ב-Active Directory. הוא כן יחיה בתחנות או בשרתים, מבלי לצרוך יותר מדי משאבים ויטפטף מידע החוצה באופן מתון או יחכה ליום פקודה ויוציא מידע \ או יפגע במידע תוך סיכון בזיהוי (שיהיה מאוחר מדי).
האתגר בהתמודדות
התמודדות עם איום שלא זוהה בכלי האבטחה הקיימים בידיו של ארגון (לרוב הארגונים אין כלים כאלו) דורשת שתי דיסיפלינות:
1. הלבנה של תהליכים והתנהגות מוכרת וזיהויים כמותרים
2. החשדה של תהליכים והתנהגות לא מוכרת
כאשר אנו מתבססים על חתימות חיוביות (BIT9, NSRL (NIST)), אנו מסוגלים "להלבין" חלק גדול מהתהליכים, האתגר הגדול בפתרון כזה הינו תחזוקה אינסופית של חתימות ההלבנה ומרדף אחרי חתימות של עדכונים ושינויים בתחנות ובשרתים. מאידך, כאשר אנו מתבססים על החשדה של תהליכים והתנהגות לא מוכרת, אנו נשארים בדרך כלל עם מאות תהליכים חשודים ומשרה מלאה שעניינה ניתוח תעבורת רשת.
זיהוי APT על דרך של "בריאות נכסים"
המתודולוגיה לזיהוי וטיפול באירועי עוינים בלתי מזוהים או חשד כזה היא שילוב של מספר תהליכים. ללקוחות אשר מוטמע בהם פתרון ניטור אירועי אבטחת מידע (SIEM), בנינו מודל של Scoring למשאבים המבוסס על אירועים שליליים המאפשר לאתר את הנכסים / משתמשים שמהווים את הסיכון הגדול ביותר, מכיוון ש-APT’s מתרחשים לאורך זמן, סך של אירועים שליליים יביא לזיהוי של הנכסים הפגיעים.
זיהוי APT באמצעות תהליכי הלבנה והחשדה
בעשרות הארגונים בישראל, בהם הטמענו מערכות ArcSight וזיהינו חשד ל-"עויינים" בתחנות ושרתים, בדרך כלל גילינו שעדיין נדרשו מידעים רלוונטיים מהתחנה \שרת כדי שהארגון יחליט אם ל"פרמט או לא לפרמט", וזאת משום שרוב הארגונים חסרים את הידע, הזמן והמוטיבציה לתחקר תחנות ושרתים ולכן זקוקים לדרך ודאית, מהירה ופשוטה יחסית לגבי ודאיות הפגיעה במשאב, קל וחומר אם מדובר ב-APT, כיוון שבאיום כזה, משאבים נותרים פגועים למשך רב.
לכלל הארגונים, אנו מציעים כיום שירות מבוסס ECAT, המתמודד עם APT’s תוך שילוב בין שתי המתודולוגיות המקובלות:
1. הלבנה של תהליכים וקבצים בתחנות ושרתים באופן אוטומטי לפי קריטריונים שנקבעו מראש
2. החשדה של תהליכים שמתנהגים בדומה לעוינים (מוזרקים לתהליכים אחרים, חיים בזיכרון ולא על הדיסק, מבצעים תקשורות באופן מחשיד וכדומה).
שילוב של שתי המתודולוגיות תוך מבט על כלל הארגון, מאפשר צמצום התהליכים הנחקרים לכמות ניתנת לניהול וביצוע החשדה של תהליכים עויינים.